一、VPN基础

——————————————————————————————————————————————————

1、定义及特征

虚拟专用网VPN是依靠Internet服务提供商ISP和网络服务提供商NSP在公共网络中建立的虚拟专用通信网络。企业迫切需要借助电信运营商网络连接企业总部和分支机构，组成自己的企业网，同时使移动办公人员能在企业以外的地方方便地接入企业内部网络。

VPN具有以下两个基本特征：

专用（Private）： 对于VPN用户，使用VPN与使用传统专网没有区别。VPN与底层承载网络之间保持资源独立，即VPN资源不被网络中非该VPN的用户所使用；且VPN能够提供足够的安全保证，确保VPN内部信息不受外部侵扰。

虚拟（Virtual）： VPN用户内部的通信是通过公共网络进行的，而这个公共网络同时也可以被其他非VPN用户使用，VPN用户获得的只是一个逻辑意义上的专网，这个公共网络称为VPN骨干网。

利用VPN的专用和虚拟的特征，可以把现有的IP网络分解成逻辑上隔离的网络。这种逻辑隔离的网络应用丰富：可以用在解决企业内部的互连、相同或不同办事部门的互连；也可以用来提供新的业务。在解决企业互连和提供各种新业务方面，VPN，尤其是MPLS VPN，越来越被运营商看好，成为运营商在IP网络提供增值业务的重要手段。

——————————————————————————————————————————————————

2、VPN优势

VPN和传统的数据专网相比具有如下优势：

安全： 远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接，保证数据传输的安全性。对于实现电子商务或金融网络与通讯网络的融合特别重要。

廉价： 利用公共网络进行信息通讯，企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴。

支持移动业务： 支持驻外VPN用户在任何时间、任何地点的移动接入，能够满足不断增长的移动业务需求。

服务质量保证： 构建具有服务质量保证的VPN（如MPLS VPN），可为VPN用户提供不同等级的服务质量保证。

VPN在保证网络的安全性、可靠性、可管理性的同时提供更强的扩展性和灵活性。在全球任何一个角落，只要能够接入到Internet，即可使用VPN。

——————————————————————————————————————————————————

3、VPN分类

根据业务用途不同，VPN可以分为：

企业内部虚拟专网Intranet VPN

Intranet VPN通过公用网络进行企业内部的互联，是传统专网或其它企业网的扩展或替代形式。企事业机构的总部、分支机构、办事处或移动办公人员可以通过公有网络组成企业内部网络。典型的Intranet例子就是连锁超市、仓储物流公司、加油站等具有连锁性质的机构。

远程访问虚拟专网Access VPN

Access VPN使出差流动员工、家庭办公人员和远程小办公室可以通过廉价的拨号介质接入企业内部服务器，与企业的Intranet和Extranet建立私有网络连接。Access VPN也叫做VPDN。

根据实现层次的不同，VPN可以分为：

L3VPN：

也就是VPRN，基于标准协议的BGP/MPLS VPN、以GRE作为隧道的BGP/MPLS VPN和GRE VPN等。其中BGP/MPLS VPN主要应用在主干转发层，GRE VPN在接入层被普遍采用。

L2VPN：

随着网络技术的发展，运营商网络越来越复杂，迫切希望出现新的技术，将传统的交换网（如ATM、FR）与IP或MPLS网络融合。L2VPN因此而诞生。

组网模型的不同，VPN可以分为：

VPDN：

VPDN为企业、小型ISP和移动办公人员提供接入服务。主要采用点到点的连接方式，通过L2TP、PPTP等协议实现。

例如，远程用户（如企业驻外机构或出差人员）可以通过ISDN或PSTN网络接入Internet，并在网络接入服务器和企业网关之间建立虚拟隧道，从而接入到企业内部。

VPRN：

VPRN是总部、分支机构和远端办公室之间通过网络管理虚拟设备互连。VPRN与其他类型的VPN相比，其主要区别在于VPRN数据包的转发是在网络层实现的。公网的每个VPN节点需要为每个VPN建立专用路由转发表，包含网络层可达性信息。VPRN的实现方式包括两种：一是使用传统VPN协议，如GRE等，另一种是使用MPLS。

VPLS：

虚拟专用局域网业务VPLS是局域网之间通过虚拟专用网段互连，是局域网在IP公共网络上的延伸。VPLS也称为透明局域网服务TLS，不同于普通L2VPN的点到点业务，利用VPLS技术，服务提供商可以通过MPLS骨干网向用户提供基于以太网的多点业务。

VPRN及未提到的VPWS也能提供局域网服务，但传统以太网技术的局限性依然存在，无法限制未知MAC的广播泛滥。生成树协议STP扩展受限。VLAN地址空间有限。

突破传统以太网技术的限制，VPLS骨干网不需要运行STP，而是使用全连接和水平分割来消除骨干网的环路。对于单播或多播不可知帧，可采取丢弃、本地处理和广播的处理方式。因此，VPLS将实现VLAN的范围扩展至全国各地，甚至世界各地。

按运营模式的不同，VPN可以分为：

由用户控制的CPE-based VPN：

在CPE-based VPN模式下，由用户控制VPN的构建、管理和维护。用户设备需要安装相关的VPN隧道协议，如GRE、L2TP、PPTP。CPE-based VPN中，依靠用户侧的网络设备发起VPN连接，不需要运营商提供特殊的支持就可以实现VPN。

CPE-based VPN方式复杂度高、业务扩展能力弱，主要应用于接入层。

由ISP控制的Network-based VPN：

在Network-based VPN模式下，VPN的构建、管理和维护由ISP控制，允许用户在一定程度上进行业务管理和控制。功能特性集中在网络侧设备处实现，用户网络设备只需要支持网络互联，无需特殊的VPN功能。

——————————————————————————————————————————————————

4、VPN体系结构

VPN不是一种简单的高层业务，它要比普通的点到点应用复杂得多。VPN的实现需要建立用户之间的网络互联，包括建立VPN内部的网络拓扑、进行路由计算、维护成员的加入与退出等。因此，VPN体系结构较复杂，可以概括为以下三个组成部分：

VPN隧道：包括隧道的建立和管理。

VPN管理：包括VPN配置管理、VPN成员管理、VPN属性管理。

VPN信令协议：完成VPN中各用户网络边缘设备间VPN资源信息的交换和共享，以及在某些应用中完成VPN的成员发现。

——————————————————————————————————————————————————

5、VPN实现的模式

隧道＋VPN管理

这类VPN的构成简单：

VPN隧道的建立。
VPN管理负责部署VPN网管和计费、QoS等策略。

隧道＋VPN管理＋VPN信令协议

这类VPN需要进行：

VPN隧道的建立。
VPN管理：包括VPN配置管理、VPN成员管理、VPN属性管理和VPN自动配置。
VPN信令协议：完成VPN中各用户网络边缘设备间VPN资源信息的交换和共享。

实例化

这类VPN要求在二层、三层中为每个VPN进行实例化，构建本VPN私有转发信息实例。VPN不仅管理隧道，还包括VPN成员发现、VPN成员管理、VPN自动配置等。

采用这种实现方式的VPN包括基于相关标准的L3VPN。